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Datenzugriff auf Kontobewegungen durch sogenannte Fintech-Unternehmen 
entsprechend der überarbeiteten Zahlungsdiensterichtlinie 2 ((EU) 2015/2366, 
Payment Service Directive 2) 


Vorbemerkung der Fragesteller 

Die schnelle Entwicklung im Zahlungsverkehrsmarkt hat zu Anpassungserfor- 
demissen geführt. Um auf diese Anforderungen zu reagieren, wurde Ende 2015 
die überarbeitete Zahlungsdiensterichtlinie 2 ((EU) 2015/2366, Payment 
Service Directive 2, kurz PSD 2) mit einer Reihe von Regelungen erlassen, mit 
dem Ziel, die Sicherheit im Zahlungsverkehr zu erhöhen und weiteren Wettbe¬ 
werb zu ermöglichen. Die PSD 2 gilt ab 13. Januar 2018 als deutsches Recht 
(vgl. www.bundesbank.de/Redaktion/DE/Standardartikel/Aufgaben/Unbarer_ 
Zahlungsverkehr/der_rechtliche_rahmen.html). 

Ein Kernpunkt der PSD 2 ist die Einbeziehung sogenannter dritter Zahlungs¬ 
dienstleister, die Zahlungsauslösedienste, Kontoinfonnationsdienste und die 
Ausgabe von Zahlungskarten anbieten, in den Anwendungsbereich der Richtli¬ 
nie. Ein Zahlungsauslösedienst wird vom Zahler beauftragt, zulasten seines bei 
einem anderen Zahlungsdienstleister (z. B. Kreditinstitut) geführten Zahlungs¬ 
kontos eine Überweisung auszulösen. Die PSD 2 regelt den Zugriff der „dritten 
Zahlungsdienstleister“ auf die Zahlungskonten bei den kontoführenden Zah¬ 
lungsdienstleistem. 

Diese „dritten Zahlungsdienstleister“ sind in der Regel spezialisierte Fintech- 
Unternehmen (Fintech = Finanztechnologie), welche zum Teil zu großen Han¬ 
dels- und Konsumgüterkonzemen gehören. Diese Konzerne können durch PSD 
2 Zugriffe auf Kontodaten bekommen, die bisher ausschließlich den Banken 
Vorbehalten waren. Die Voraussetzung dafür ist, dass die Kunden dem zustim¬ 
men (vgl. www.morgenpost.de/wirtschaft/article213070745/Amazon-erhaelt- 
tiefen-Einblick-in-private-Finanzen-der-Kunden.html). 

Künftig kann dann ein frisch gegründetes Fintech-Unternehmen oder ein On¬ 
linekonzern wie Amazon auf alle Kontodaten zugreifen, wenn der Endkunde 
dies gestattet. Die Banken müssen ihre Kembankensysteme so einrichten, dass 
nach einer Übergangsfrist von 18 Monaten die Datenabfrage von außen durch 
die zugelassenen Fintechs (dritte Zahlungsdiensteanbieter) möglich ist. Finnen, 
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die den Zugriff haben wollen, müssen auch eine Zulassung bei der Bundesan¬ 
stalt für Finanzdienstleistungsaufsicht (BaFin) besitzen. Einsehen dürfen diese 
Fintech-Unternehmen künftig alle Kontodaten der vergangenen 90 Tage. 


Vorbemerkung der Bundesregierung 

Mit der vollharmonisierenden Zweiten Zahlungsdiensterichtlinie (Richtlinie (EU) 
2015/2366, umgesetzt durch das Gesetz zur Umsetzung zur Zweiten Zahlungs¬ 
diensterichtlinie vom 17. Juli 2017, BGBl. I S. 2446) sind die bestehenden Vor¬ 
schriften für Zahlungsdienste an den technologischen Fortschritt angepasst, neue 
Zahlungsdienste - die Zahlungsauslösedienste bzw. Kontoinformationsdienste - 
einer Aufsicht unterstellt und die Sicherheit bei Zahlungen - insbesondere im In¬ 
ternet — verbessert. Die Vorschriften traten überwiegend zum 13. Januar 2018 in 
Kraft. Vereinzelte Vorschriften über die starke Kundenauthentifizierung und den 
Zugang zu Zahlungskonten treten später ab dem 14. September 2019 in Kraft und 
werden zusammen mit den Regulierungsstandards der delegierten Verordnung 
(EU) 2018/389 angewendet. 

Zahlungsauslösedienste lösen im Auftrag ihrer Kundinnen und Kunden einen 
Zahlungsauftrag auf deren Konto aus, das bei einem anderen Zahlungsdienstleis¬ 
ter geführt wird. Kontoinformationsdienste sammeln im Auftrag ihrer Kunden 
Informationen zu ihren online geführten Konten und stellen sie ihnen auf beson¬ 
ders aufbereitete Weise wieder zur Verfügung. Die Inanspruchnahme von dritten 
Zahlungsdienstleistern setzt voraus, dass das Konto online zugänglich ist (§ 45 
Absatz 1 Nummer 1 des Zahlungsdiensteaufsichtsgesetzes — ZAG, § 675f Ab¬ 
satz 3 Satz 1 des Bürgerlichen Gesetzbuchs — BGB). Dritte Zahlungsdienstleister 
werden nur tätig, wenn der Kunde (der im Zahlungsdiensterecht als Zahlungs¬ 
dienstnutzer bezeichnet wird) einen entsprechenden Vertrag mit ihnen geschlos¬ 
sen hat. 


1. Welche Voraussetzungen für eine solche Zulassung gibt es, und nach wel¬ 
chen Kriterien wird bei der BaFin über Zulassung bzw. Nichtzulassung ent¬ 
schieden? 

Ein Unternehmen benötigt nach dem Zahlungsdiensteaufsichtsgesetz (ZAG) die 
schriftliche Erlaubnis bzw. Registrierung der Bundesanstalt für Finanzdienstleis¬ 
tungsaufsicht (BaFin), wenn es Zahlungsauslösedienste bzw. Kontoinformations¬ 
dienste gewerbsmäßig oder in einem Umfang erbringen möchte, der einen in 
kaufmännischer Weise eingerichteten Geschäftsbetrieb erfordert (§§ 10, 34 
ZAG). Wird es auf diese Weise tätig, ohne über die erforderliche Erlaubnis bzw. 
Registrierung zu verfügen, schreitet die BaFin ein und trägt dafür Sorge, dass die 
unerlaubten Geschäftstätigkeiten nicht weiter fortgeführt werden. Zugelassene 
CRR-Kreditinstitute und E-Geld-Institute können Zahlungsauslösedienste bzw. 
Kontoinformationsdienste bereits auf Grundlage ihrer bestehenden Erlaubnis er¬ 
bringen. 

Die BaFin erteilt Unternehmen, die derartige Zahlungsdienste erbringen möchten, 
auf Antrag eine Erlaubnis bzw. Registrierung (§§ 10, 34 ZAG), falls sich die Ge¬ 
schäftsaktivitäten als erlaubnis- bzw. registrierungsfähig darstellen; andernfalls 
versagt die BaFin die Erlaubnis bzw. Registrierung (§§ 12, 35 ZAG). Um die Er¬ 
laubnis- bzw. Registrierungsfähigkeit einer Geschäftsaktivität überprüfen zu kön¬ 
nen, benötigt die BaFin eine Reihe an Angaben und Unterlagen von den Unter¬ 
nehmen. So müssen beispielsweise das Geschäftsmodell dargestellt werden und 
ein tragfähiger Geschäftsplan beigefügt sein. Die Geschäftsleiter müssen zuver- 
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lässig und außerdem fachlich geeignet sein. Die Unternehmen haben eine ord¬ 
nungsgemäße Geschäftsorganisation, eine angemessene Untemehmenssteuerung 
und interne Kontrollmechanismen einzurichten. Darüber hinaus müssen die Un¬ 
ternehmen unter anderem ihre Sicherheitsstrategie darlegen und angeben, wie sie 
mit sensiblen Zahlungsdaten umgehen. Näher ausgeformt sind die im Rahmen 
des Antragsverfahrens zu übermittelnden Informationen in Leitlinien der Europä¬ 
ischen Bankenaufsichtsbehörde (EBA). 


2. Wie viele Unternehmen haben nach Kenntnis der Bundesregierung bisher 
die Zulassung bei der BaFin für den Zugriff auf die Kontodaten als „dritter 
Zahlungsdienstleister“ beantragt bzw. erhalten? 

Kann diese Liste entsprechend dem Informationsfreiheitsgesetz öffentlich 
zugänglich gemacht werden? 

Bisher haben 25 Unternehmen Anträge für das Erbringen von Kontoinformati¬ 
onsdiensten bzw. Zahlungsauslösediensten bei der BaFin gestellt. 13 dieser An¬ 
träge richten sich ausschließlich auf das Erbringen von Kontoinformationsdiens¬ 
ten. Die Erlaubnis- bzw. Registrierungsverfahren sind noch nicht abgeschlossen. 

Die BaFin führt auf ihrer Internetseite ein öffentlich zugängliches Zahlungsinsti- 
tuts-Register (§ 43 ZAG), in das sie unter anderem Zahlungsinstitute nach erfolg¬ 
ter Erteilung einer Erlaubnis bzw. Registrierung einträgt. Die BaFin übermittelt 
die in das Zahlungsinstituts-Register aufgenommenen Angaben an die EBA. Die 
EBA wird auf ihrer Intemetseite ein öffentlich zugängliches Register einrichten, 
in das die von den Aufsichtsbehörden der einzelnen Mitgliedstaaten übermittelten 
Angaben aufgenommen werden (Artikel 15 der Zweiten Zahlungsdiensterichtli¬ 
nie). 


3. Wie wird gewährleistet, dass die Zustimmungsabfrage dem Kunden explizit 
deutlich gemacht wird und nicht durch Zustimmung einer neuen AGB-Fas- 
sung „untergeschoben“ wird. 

Gibt es Vorgaben für den Prozess der Zustimmung, und falls ja, welche? 

Die Einschaltung eines dritten Zahlungsdienstleisters setzt einen entsprechenden 
Vertragsabschluss des Kunden mit dem jeweiligen Zahlungsauslöse- oder Kon¬ 
toinformationsdienstleister voraus. Hierfür gelten die allgemeinen zivilrechtli¬ 
chen Regeln. Es ist nicht ersichtlich, wie ein solches Vertragsverhältnis durch 
„Unterschieben“ einer neuen AGB-Fassung im Rahmen einer bestehenden Ge¬ 
schäftsbeziehung begründet werden kann. Ein Händler kann die für einen ge¬ 
schlossenen Vertrag geltenden AGB nur durch einen Änderungsvertrag mit dem 
Kunden durch neue AGB ersetzen. Wenn ein Angebot zum Abschluss eines Än¬ 
derungsvertrages Klauseln enthalten sollte, durch die nicht nur der bestehende 
Vertrag zwischen Händler und Kunde geändert werden soll, sondern auch ein 
neuer zwischen dem Kunden und einem Zahlungsauslöse- oder Kontoinformati¬ 
onsdienstleister geschlossen werden soll, wären solche Klauseln als überraschend 
anzusehen, wenn der Kunde nicht ausdrücklich auf sie hingewiesen wurde. Über¬ 
raschende Klauseln werden nach § 305c BGB nicht Vertragsbestandteil. 

Im Übrigen sehen die §§45 Absatz 1 Nummer 2, 46 Nummer 1, 48 Absatz 1,51 
Absatz 1 des Zahlungsdiensteaufsichtsgesetzes (ZAG) eine ausdrückliche Zu¬ 
stimmung des Zahlungsdienstnutzers zu verschiedenen Maßnahmen im Zusam¬ 
menhang mit Drittdiensten vor. Weiter muss sich beispielsweise bei Zahlungs- 
auslösedienstleistungen die Zustimmung des Zahlungsdienstnutzers auf den kon- 
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kreten Zahlungsvorgang mit einem genauen Betrag an einen bestimmten Zah¬ 
lungsempfänger beziehen, damit eine Autorisierung des Zahlungsvorgangs 
i. S. d. § 675j BGB erfolgen kann; eine Zustimmung mittels AGB in diesem Zu¬ 
sammenhang erscheint femliegend. 


4. Wie ist gewährleistet, dass dem Kunden keine Nachteile entstehen, wenn er 
einer Datenübermittlung an den „dritten Zahlungsdienstleister“ widerspricht? 

Die Anfrage scheint vorauszusetzen, dass der kontoführende Zahlungsdienstleis¬ 
ter aus eigenem Antrieb Daten von Zahlungsdienstnutzem an dritte Zahlungs¬ 
dienstleister übermitteln darf und der Zahlungsdienstnutzer dem widersprechen 
muss. Tatsächlich ist es jedoch dem Zahlungsdienstnutzer überlassen, dritte Zah¬ 
lungsdienstleister einzuschalten und dabei die Mitwirkung seines kontoführenden 
Zahlungsdienstleisters in Anspruch zu nehmen (§ 675f Absatz 3 BGB). Nur in 
diesem Fall dürfen im Rahmen der durch das ZAG gesetzten engen Grenzen die 
hierfür notwendigen Daten an dritte Zahlungsdienstleister übermittelt werden. 


5. Womit wird die 90-Tage-Regelung zur Einsicht in Kontodaten der Kunden 
begründet? 

Nach der Zweiten Zahlungsdiensterichtlinie sollen Zahlungsdienstleister für be¬ 
stimmte Vorgänge im elektronischen Zahlungsverkehr vom Zahler eine starke 
Kundenauthentifizierung verlangen (§§ 55, 1 Absatz 24 ZAG). Das bedeutet eine 
Legitimation über mindestens zwei Komponenten. Die Kombination von Zah¬ 
lungskarte und Geheimzahl ist dafür ein Beispiel. 

Technische Anforderungen an die starke Kundenauthentifizierung und Ausnah¬ 
men von der starken Kundenauthentifizierung enthalten Regulierungsstandards 
auf Basis von Artikel 98 der Zweiten Zahlungsdiensterichtlinie, die als delegierte 
Verordnung (EU) 2018/389 von der Europäischen Kommission am 27. Novem¬ 
ber 2017 erlassen wurden. Sie konkretisieren die - im Vergleich zum Status quo — 
erhöhten aufsichtsrechtlichen Anforderungen der Zweiten Zahlungsdienstericht¬ 
linie für den technischen Zugang zu Zahlungskontendaten durch Zahlungsauslö- 
sedienste bzw. Kontoinformationsdienste. 

Ausnahmen von der starken Kundenauthentifizierung sind unter engen Voraus¬ 
setzungen möglich. Ein Beispiel dafür ist der Online-Zugriff auf Kontostand bzw. 
auf die Zahlungsvorgänge, die in den vergangen 90 Tagen ausgeführt wurden. 
Nicht von dieser Ausnahme erfasst sind sensible Zahlungsdaten, die in § 1 Ab¬ 
satz 26 ZAG näher umschrieben werden. Außerdem muss mindestens alle 
90 Tage eine starke Kundenauthentifizierung weiterhin durchgeführt werden (Ar¬ 
tikel 10 der delegierten Verordnung (EU) 2018/389). Auch in diesen Fällen haben 
die Anbieter lediglich Zugang auf ausgewählte Kontoinformationen, die sie für 
die Erbringung ihrer Dienste benötigen. Für den europäischen Gesetzgeber war 
eine Risikobewertung bei der Ausgestaltung der Ausnahmen von der starken 
Kundenauthentifizierung maßgeblich (Erwägungsgründe 9 und 10 der delegier¬ 
ten Verordnung (EU) 2018/389). Nationaler gesetzgeberischer Gestaltungsspiel¬ 
raum besteht nicht. 
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6. Sind Regelungen vorgesehen, dass der Verbraucher den Umfang seiner Kon¬ 
todaten beschränken kann? 

Wenn nicht, welche Gründe liegen vor, alle Daten freizugeben? 

Einleitend ist daraufhinzuweisen, dass es Zahlungsdienstnutzem ffeisteht, ob und 
in welchem Umfang sie sogenannte dritte Zahlungsdienstleister einschalten. Bei 
Kontoinformationsdiensten beispielsweise gibt es unterschiedliche Angebote, die 
eine unterschiedlich intensive Erhebung und Verarbeitung von Kontodaten des 
Nutzers voraussetzen. Der Zahlungsdienstnutzer kann somit schon mit der Aus¬ 
wahl des jeweiligen Dienstes den Umfang der abzufragenden Informationen steu¬ 
ern. 

Zum Schutz der Kundendaten regelt die Zweite Zahlungsdiensterichtlinie den Zu¬ 
griff auf Informationen des Kunden und schränkt diesen ein. In Umsetzung der 
Richtlinie regelt § 45 ff. ZAG, welche Daten von den kontoführenden Zahlungs¬ 
dienstleistem weitergegeben werden dürfen und welchen Beschränkungen und 
Zustimmungserfordemissen die dritten Zahlungsdienstleistem bei ihrer Erhebung 
und Verwendung unterliegen (beispielsweise in § 45 Absatz 1 Nummer 2 und 
Absatz 2, § 46 Satz 3, § 48 Absatz 1 Nummer 2, § 49 Absatz 4, § 51 Absatz 1 
Satz 2 bis 4 und Absatz 2 Satz 2 ZAG). Die Übermittlung von Informationen von 
Zahlungskonten ist danach streng zweckgebunden für den jeweils vom Zahlungs¬ 
dienstnutzer ausdrücklich geforderten Dienst. 

Wenn der Zahlungsdienstenutzer beispielsweise nur einem Kontoinformations¬ 
dienst ausdrücklich zugestimmt hat, der lediglich den Kontostand, aber nicht die 
Umsätze abrufen soll, dann darf der Drittdienstleister auch keine Umsätze abru- 
fen. Wenn er wie vom Zahlungsdienstenutzer gewünscht auf den Kontostand zu¬ 
greift, muss er sich jedes Mal gegenüber dem kontoführenden Institut identifizie¬ 
ren und über sichere Kanäle mit ihm kommunizieren. 


7. Wie viele Banken in Deutschland stellen nach Kenntnis der Bundesregierung 
zugelassenen Fintech-Untemehmen einen Zugang zur Datenabfrage bereits 
zur Verfügung (bitte die Anzahl der Sparkassen sowie die Anzahl der Volks¬ 
banken mit Zugang, Stand. 14. Juli 2018, angeben)? 

Der Bundesregierung liegen keine Informationen über die Anzahl der Kreditin¬ 
stitute in Deutschland vor, die bereits heute einen Zugang für Zahlungsauslöse- 
dienste bzw. Kontoinformationsdienste zur Verfügung stellen. 
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